MEDIUMCVE-2017-20239CVSS 6.1

MDwiki 通过 Location Hash 参数的跨站脚本漏洞

平台

javascript

组件

mdwiki

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

CVE-2017-20239 是 MDwiki 0.6.2 中发现的一个跨站脚本 (XSS) 漏洞。该漏洞允许远程攻击者通过在 location hash 参数中注入恶意代码来执行任意 JavaScript。攻击者可以构造包含 JavaScript 负载的 URL 哈希片段，这些片段在未经 sanitization 的情况下被解析和渲染，从而导致注入的脚本在受害者的浏览器上下文中执行。

影响与攻击场景

CVE-2017-20239 影响 MDwiki，使用户面临跨站脚本攻击 (XSS) 的风险。这使得远程攻击者能够在受害者的浏览器中执行恶意 JavaScript 代码。问题在于 MDwiki 如何处理“location hash”参数。攻击者可以创建专门设计的 URL，其中包含在 URL 的哈希片段 (#) 中嵌入的 JavaScript 代码。MDwiki 在没有适当的验证或清理的情况下，会解释并执行此代码，从而损害用户安全。这可能导致 Cookie 被盗、重定向到恶意网站或修改网页内容，从而影响数据完整性和保密性。缺乏已知的修复 (fix) 进一步加剧了这种情况，需要仔细评估和预防措施。

利用背景

MDwiki 中 CVE-2017-20239 漏洞是通过操纵 URL 中的“location hash”参数来利用的。攻击者可以创建一个恶意链接，其中包含在哈希片段（

符号之后）中嵌入的 JavaScript 代码。单击此链接会导致受害者的浏览器加载 MDwiki 页面并执行注入的 JavaScript 代码。该代码在用户的上下文中执行，允许攻击者访问敏感信息，例如会话 Cookie，或代表用户执行操作。这种漏洞的简单性使其特别危险，因为攻击可以通过电子邮件、社交媒体或受损网站轻松传播。MDwiki 中缺乏验证使得恶意代码注入变得容易。

哪些人处于风险中翻译中…

Organizations using MDwiki for internal documentation, knowledge bases, or other web-based content are at risk. Specifically, environments where MDwiki is accessible from external networks or where user input is not properly sanitized are particularly vulnerable. Shared hosting environments where multiple users share the same MDwiki instance also increase the risk of exploitation.

检测步骤翻译中…

• javascript / generic web:

// Check for unusual JavaScript code in the URL hash
const hash = window.location.hash;
if (hash.includes("<script>alert(\");")) {
  console.warn("Potential XSS vulnerability detected in URL hash");
}

• generic web:

# Check access logs for URLs containing suspicious JavaScript in the hash
grep -i 'location.hash=[^#]*<script>' access.log

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (9% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件mdwiki

供应商Dynalon

影响范围修复版本

0.6.2 – 0.6.2—

弱点分类 (CWE)

CWE-79

时间线

已保留2026-04-12
发布日期2026-04-12
修改日期2026-04-13
EPSS 更新日期2026-04-20

未修复 — 披露已42天

缓解措施和替代方案

由于 MDwiki 中不存在 CVE-2017-20239 的官方修复 (fix)，因此缓解措施侧重于预防性和风险降低措施。强烈建议在实施解决方案之前避免使用 MDwiki。如果使用是必不可少的，请实施严格的 Web 安全策略，包括验证和清理所有用户输入，特别是与 URL 相关的输入。教育用户有关点击可疑链接或具有异常哈希片段的 URL 的风险。实施内容安全策略 (CSP) 可以帮助限制可以执行的 JavaScript 来源，从而减轻 XSS 攻击的影响。监控网络流量以查找可疑模式也有助于检测和响应潜在攻击。

修复方法翻译中…

Actualizar MDwiki a una versión corregida.  La vulnerabilidad se encuentra en la forma en que se maneja el parámetro de hash de ubicación, por lo que la actualización debería mitigar el riesgo de inyección de scripts entre sitios (XSS).

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2017-20239 是什么 — MDwiki 中的 Cross-Site Scripting (XSS)？

XSS（跨站脚本）是一种安全漏洞类型，允许攻击者将恶意脚本注入到其他用户查看的网页中。

MDwiki 中的 CVE-2017-20239 是否会影响我？

如果您使用 MDwiki，则很可能受到影响。监控您的网站是否存在异常行为或未经授权的更改。

如何修复 MDwiki 中的 CVE-2017-20239？

是的，有许多 MDwiki 的替代方案，它们提供更高的安全性以及持续的支持。在继续使用 MDwiki 之前，请研究替代方案。

CVE-2017-20239 是否正在被积极利用？

CSP（内容安全策略）是一种安全层，有助于通过控制浏览器可以加载的内容来源来防止 XSS 攻击。

在哪里可以找到 MDwiki 关于 CVE-2017-20239 的官方安全通告？

立即更改您的密码，检查您的网站是否存在未经授权的更改，并考虑咨询安全专家进行全面评估。